La Eurocámara espera un acuerdo sobre la polémica ley contra la pornografía infantil en un mes: por qué hay expertos en privacidad en pie de guerra

El controvertido reglamento con el que la Unión Europea quiere combatir la pornografía infantil o el grooming en internet sigue tramitándose y cabe esperar que el Parlamento Europeo adopte su postura de aquí a finales de octubre. La esperanza es que el texto se pueda empezar a negociar con el Consejo todavía bajo presidencia española, antes de que acabe 2023.

Bruselas puso sobre la mesa el borrador de esta ley en mayo del año pasado. Desde el primer momento levantó una polvareda. Su propósito es que los servicios tecnológicos ayuden a combatir la distribución del material de abuso infantil en todas las plataformas digitales.

La idea, en apariencia bienintencionada, tiene en pie de guerra a colectivos y organizaciones en defensa de los derechos digitales y de la privacidad. La propuesta contempla que servicios digitales escaneen los archivos compartidos en las comunicaciones de sus usuarios para comprobar si los archivos que comparten son sospechosos de ser material ilícito.

No será de manera masiva, sino a través de un mecanismo llamado "orden de detección" que hasta ahora era voluntario y pasará a ser obligatorio para todos los proveedores de servicios digitales. Cuando las autoridades judiciales de un estado miembro lancen una orden de detección, a la tecnológica de turno no le quedará otra que obedecer.

El reglamento también propone la creación de un centro al que las tecnológicas podrán acudir. Dicho organismo tendrá una base de datos y con esa información se contrastará si el material enviado es ilegal.

En EEUU, por ejemplo, existe el Centro Nacional para Niños Desaparecidos y Explotados (NCMEC, por sus siglas en inglés). Cuando se detecta en la red un vídeo o una imagen que puede catalogarse como material de abuso sexual a menores, se le atribuye un código único para identificarlo. Ya tiene listados más de 6,3 millones de hashes correspondientes con esos materiales.

Los proveedores tecnológicos, de este modo, pueden acceder a ese listado para tratar de perseguir y eliminar ese material de sus plataformas.

El reglamento detalla que esas órdenes de detección deberán "limitarse estrictamente" a lo estipulado en la norma (la lucha contra la pornografía infantil, no podrá emplearse para investigar otros delitos). Varios colectivos lamentan que esta regulación no aborda la producción de ese material con abusos sexuales a menores, "solo su difusión, intercambio y almacenamiento".

"El término abuso sexual infantil solo aparece en el título, epígrafe y formulismos legales. (...) No es una ley contra el abuso sexual de menores que perjudica a internet. Es solo una ley contra internet, que olvida el abuso sexual a menores salvo para justificar propagandísticamente ataques contra un internet democrático", denunciaron varios colectivos el pasado mes de mayo.

Fuentes del Parlamento Europeo consultadas por Business Insider España indican que el acuerdo en la Eurocámara podría llegar en las próximas semanas, antes de noviembre. Eso abriría la puerta a que comenzaran los trílogos (las negociaciones con el Consejo y la Comisión) antes de que acabe el año.

Para aprobar un proyecto legal, los 2 colegisladores de la Unión Europea (Parlamento y Consejo) consensúan primero cada uno por su lado sus propuestas enmendadas. Una vez el Parlamento y el Consejo tienen ya sus versiones del texto listas, las contraponen en los trílogos. De esas negociaciones, en las que también está presente la Comisión, sale el texto resultante.

También apuntan que la voluntad de la mayoría de los grupos en el Parlamento es que se alcance pronto el acuerdo para ese texto propio (que se contrapondrá a la propuesta que lance el Consejo, el otro colegislador). Las elecciones europeas son en mayo de 2024, y aunque los proyectos en trámite no caducan ante su convocatoria, el escenario puede ser muy distinto en unos meses.

El desafío de intervenir en las comunicaciones cifradas

Desde que se conoció el borrador que la Comisión publicó en mayo de 2022, la norma ha atravesado varias polémicas. Medios especializados y expertos han llegado a advertir que la norma puede acabar rompiendo un estándar de la red que es crucial para garantizar el secreto de las comunicaciones: el cifrado de extremo a extremo.

Las autoridades judiciales lanzarán órdenes de detección sobre plataformas digitales cuando exista la sospecha de que a través de ella se está traficando con material de abuso sexual a menores.

El reglamento, para "garantizar la eficacia" de las órdenes de detección que lance, para "mantener la neutralidad tecnológica" y para evitar que nadie se escaquee de cumplir con esas órdenes, no recomienda ninguna tecnología en concreto para cumplirlas. "Deja en manos del prestador afectado la elección de las tecnologías que deben utilizarse para cumplir las órdenes".

"No debe entenderse que incentiva o desincentiva el uso de una tecnología determinada", enfatiza el texto. "Eso incluye el uso de tecnología de cifrado de extremo a extremo, que es una herramienta importante para garantizar la seguridad y la confidencialidad de las comunicaciones de los usuarios, también de los menores", se detalla en el borrador.

No, esa IA que genera texto no está "feliz" o "triste" y pensar que sí lo está es un grave error: los riesgos sociales de proyectar emociones a la tecnología

La norma deja en manos de las tecnológicas decidir de qué manera cumplen con las órdenes de detección. Pero aunque prometa no desincentivar los cifrados de extremo a extremo, hace meses Wired accedió a un informe de un grupo de trabajo del Consejo de la Unión Europea.

En el documento se desgranaba la postura que tenían las autoridades policiales de cada país miembro sobre la posibilidad de acceder e intervenir a material de abuso sexual a menores en caso de que este estuviese encriptado o formase parte de un canal de comunicación cifrado.

La postura de España fue una de las más radicales de todos los estados. Planteaba que los proveedores de servicios digitales tengan la posibilidad de descifrar determinados canales (con la instalación de una suerte de puertas traseras al cifrado, por ejemplo) y llega a proponer que las tecnológicas europeas se abstengan de implementar nuevos cifrados.

"A nuestro modo de ver y de forma ideal, es deseable prever legislativamente que los proveedores de servicios con sede en la Unión Europea no implementen cifrados de extremo a extremo", enfatiza España en dicho documento.

El meollo del asunto es que instalar puertas traseras en un cifrado de extremo a extremo es tecnológicamente inviable. Pero para los críticos con este reglamento que se negocia en Bruselas, la intención de acabar con las comunicaciones cifradas no es el único de los problemas.

Críticas a una ley que va "contra internet", según activistas

Antes de que todo este debate estallara la UE aprobó otro reglamento que entró en vigor en agosto de 2021 y que expirará en el mismo mes del año que viene. Aquella norma derogó temporalmente algunas disposiciones de la antigua directiva europea de privacidad electrónica (anterior al Reglamento General de Protección de Datos).

Con esa maniobra, Bruselas consiguió que las tecnológicas ya puedan informar voluntariamente de estas detecciones de material de abuso sexual a menores en sus plataformas. Como este reglamento expira en agosto de 2024, la nueva ley que se discute en Bruselas está llamada a reemplazarla.

El cómo se reemplaza es lo importante. Javier Zarzalejos es el ponente del nuevo reglamento en el Parlamento Europeo. 

El eurodiputado español, del PP, defiende que el principal cambio del reglamento de 2021 al nuevo es que de voluntariedad se pasa a obligatoriedad: tanto a la hora de que las tecnológicas hagan análisis sobre los riesgos de que sus plataformas pueden ser canales de distribución de pornografía infantil como a la hora de cumplir con las órdenes de detección.

La propuesta desgrana, de los artículos 7 al 11, cómo tendrán que cumplir las compañías con estas órdenes de detección. Y las tecnologías para dar cumplimiento a ellas tendrán que ser "conformes con el estado actual de la técnica en el sector". Las firmas responsables de servicios cifrados, como WhatsApp, estarán igualmente obligadas a cumplir con esas órdenes de detección.

Pero "el estado actual de la técnica" no aporta soluciones que sirvan para romper un cifrado de extremo a extremo discrecionalmente. Eso, y la posibilidad de que los escaneos en búsqueda de material de abuso sexual a menores arrojen falsos positivos, son 2 de las cuestiones que más preocupan en la comunidad científica.

En otras palabras: las aplicaciones de mensajería cifrada tendrán difícil dar cumplimiento a las órdenes de detección que reciban si no rompen puntualmente su sistema de cifrado, cosa que  no se puede hacer discrecionalmente sobre usuarios determinados. El cifrado de extremo a extremo no implica un desencriptado en los servidores del proveedor, como sucede en telefonía móvil.

Además, no sería una alternativa aceptable para los expertos.

Por otro lado, eso abre la puerta, entienden expertos, a que se socave el derecho a la privacidad y a la garantía del secreto de las comunicaciones. Así lo expusieron varios ingenieros y expertos en criptografía y privacidad en una carta abierta que en el momento en el que se escriben estas líneas ya han firmado 465 personas procedente de 38 países distintos.

La respuesta que los especialistas recibieron por parte de Bruselas fue muy áspera.

Por un lado, la propia Comisión publicó un comunicado en el que lamentaba que la carta planteara escenarios y miedos "hipotéticos". Por el otro, el eurodiputado popular criticó que "cada vez que se plantea la necesidad de identificar contenidos ilegales surgen las mismas voces" que "rechazan el abuso sexual infantil, pero luego no aportan ninguna solución".

Expertos, en pie de guerra: "Los problemas que genera esa solución se siguen ignorando"

En su carta, los académicos detallan la alternativa que propone el nuevo reglamento para sortear los servicios con cifrado de extremo a extremo. Sería un conjunto de técnicas denominadas Client-Side Scanning o CSS que "escanearían el contenido en el dispositivo del usuario antes de que se cifre o después de que se descifre".

"Cuando se instala en el dispositivo de una persona, el CSS actúa como un programa espía. Cualquier ley que imponga el CSS, o cualquier otra tecnología diseñada para acceder, analizar o compartir el contenido de las comunicaciones, socavará la encriptación y, en consecuencia, hará que las comunicaciones sean menos seguras", advierten.

Los expertos también alertan del "enorme número de falsos positivos que cabe esperar" de los sistemas de detección que el reglamento exigirá a las tecnológicas, y que requerirá de una "sustancial cantidad de recursos" creando "graves riesgos para que todos los usuarios sean identificados incorrectamente".

"Estos recursos estarían mejor empleados en otros enfoques para proteger a los niños de los abusos sexuales".

A pesar de las críticas y avisos que han lanzado los investigadores, las respuestas que han llegado desde Bruselas han sido desdeñosas. Ylva Johansson, la comisaria europea de Interior, principal defensora de la iniciativa, y recientemente viral por tejer punto en el Parlamento Europeo, volvió a reivindicar el texto en una visita a Madrid de hace unos días.

"Está claro que hay compañías fuertes que no quieren someterse a la regulación o abordar el debate entre la privacidad y la seguridad. Tiene que haber un equilibrio". "En el mundo online hay una tendencia a ver las cosas en blanco y negro, la privacidad es un derecho fundamental, pero también hay que buscar el equilibrio sobre la privacidad de esos niños víctimas", dijo entonces.

Carmela Troncoso es experta en criptografía y docente en la Escuela Politécnica de Lausana, en Suiza. Es una de las impulsoras de la carta abierta que 465 investigadores han apoyado en contra de este reglamento. En conversación telefónica con Business Insider España explica qué le han parecido las últimas declaciones de Johansson.

"Me parece que vale lo mismo que su anterior respuesta. Los grandes problemas que genera esta solución se siguen ignorando", lamenta. "Lo que decimos es que la tecnología que tienen en la cabeza no existe". 

Los investigadores también recibieron respuesta del ponente de la norma, el eurodiputado Zarzalejos, quien reivindicaba que hay tecnologías que atienden estos problemas y ya están validadas. " Negar la utilización de tecnologías disponibles y validadas significa otorgar la absoluta impunidad para la generación y la difusión de contenidos de abuso sexual infantil".

Pero Troncoso invita al eurodiputado a que ponga sobre la mesa "qué tecnología es y dónde está probado que sea fiable". "Todas las evidencias que tenemos desde el punto de vista científico es que no lo es. Todos los mecanismos son relativamente fáciles de esquivar. Lo que va a pasar es que el que quiera evitarlos los evitará y el resto tendremos algo escaneando nuestro teléfono".

El temor a que se abra la puerta a una nueva dimensión de la vigilancia tecnológica

"No nos podemos olvidar de que la tecnología es un medio para lograr un objetivo. El objetivo del cifrado extremo a extremo es tener una intimidad, un espacio propio en el que estás seguro de que no hay nadie escuchándote. Es equivalente a los muros de tu casa. Pueden ser gruesos y de hormigón. Pero si pones una cámara sobre ellos, ¿dirías que no hay nadie observándote?".

Así explica la propia Troncoso el desafío y sobre todo riesgo que representa este reglamento: indistintamente de si se consiguen aplicar órdenes de detección en sistemas cifrados de extremo a extremo, si la alternativa es el escaneo en origen y en destino el problema latente sigue siendo el mismo.

Una nueva puerta abierta a que la privacidad y el derecho al secreto en las comunicaciones sea vulnerado. El reglamento estipula varias salvaguardas, pero la orden de detección no la asume ninguna autoridad pública. La asume la propia compañía privada.

Así acceden empresas y Gobiernos a tus datos y a tu intimidad (ninguna manera es enviando una alerta por emergencias)

La carta abierta que impulsó Troncoso junto a varios colegas nacía de esa preocupación. "Si la tecnología que permitiese de manera fiable perseguir esos contenidos en internet habría que hacerla pública y ver qué propiedades dicen que tiene", remacha la investigadora.

"Es lo que hacemos continuamente con medicinas, con automóviles, con aviones. Nadie comercializa nada que pueda ser dañino para el ser humano, para la sociedad o la democracia. Con un sistema de vigilancia sin probar pasa lo mismo. Incluso si fuese una tecnología real, se está ignorando este debate y no ha habido una sola respuesta a nuestras preocupaciones", lamenta.

Carmela Troncoso abre la puerta a imaginar que una tecnología fiable y efectiva existiera a la hora de cazar contenidos ilícitos de esta naturaleza. Habría 2 problemas. Las imágenes son contextuales. Habrá que ver cómo funciona el algoritmo que criba y contrasta el material etiquetado como sospechoso.

El segundo: cómo se garantizará que esa tecnología no se utilice para otro tipo de rastreos. "En España se ha espiado a independentistas catalanes", recuerda la especialista.

El ponente de la regulación la defiende: "No busca el control universal de las comunicaciones"

El ponente del reglamento y eurodiputado español Javier Zarzalejos también atiende a este medio desde Bruselas para dar su opinión sobre la polémica. Aunque ya lo hiciera en aquel comunicado, el parlamentario quiere remarcar que en los debates que se están teniendo en la Eurocámara ya se están abordando tanto las dimensiones jurídicas como las tecnológicas de la propuesta.

Sigue pensando que la carta de los investigadores estuvo basada "en buena parte en algo que no existe, y que no tiene en cuenta en absoluto el avance que se está produciendo afortunadamente en las negociaciones entre los grupos políticos". Zarzalejos matiza que entiende que no lo tenga en cuenta.

"La preocupación por las garantías en toda actividad de procesamiento de datos es fundamental. Hablamos de algo esencial y en lo que todos estamos interesados, todos somos usuarios de las redes y todos queremos naturalmente salvaguardar nuestra privacidad", expone. 

"La cuestión no es si hay unos que quieren salvaguardar la privacidad y otros que quieren proteger a los menores del material de abuso. La cuestión es cómo hacer lo uno con lo otro y creo que es posible con una legislación que tiene una gran complejidad y con las garantías adecuadas". 

Zarzalejos recuerda que el reglamento no prescribe el uso de ninguna tecnología en concreto para cumplir con las órdenes de detección y que establece obligaciones para que los servicios digitales analicen sus riesgos y "en consecuencia, tomen medidas para evitar que su servicio sea usado para difundir material con abusos sexuales de menores".

Tampoco comparte la idea de que la tecnología todavía no es fiable ni que todavía no existan soluciones validadas o adecuadas. "El mensaje que se está lanzando es un mensaje que ya escuchaba aquí hace 5 años, que no hay tecnologías disponibles", critica. "Todos los años, todos los meses tenemos saltos tecnológicos".

Las plataformas tendrán que realizar esos análisis de riesgo. "No es lo mismo, por poner también ejemplos gráficos, un videojuego que tiene asociado un chat en el que los usuarios no pueden intercambiar imágenes que un videojuego que tiene asociado un chat que sí lo permite", plantea.

El reglamento, defiende, no busca "el control universal de las comunicaciones". "Primero, porque es imposible y además no sirve para nada. Ninguna policía ni ningún servicio de inteligencia podría con ello. Se irá servicio a servicio. Es todo mucho más matizado de lo que se presenta".

Pero lo que muchos activistas comparten es que la norma, aunque no lo tenga entre sus propósitos, en la práctica acerque un pasito más ese indeseado control universal de las comunicaciones. Mientras el debate ya está servido, las instituciones comunitarias continúan tramitando un reglamento controvertido que verá la luz en cuestión de meses.